Unione Industriale Torino - 6 novembre 2003 - Il Testo Unico sulla Privacy IL NUOVO TESTO UNICO IN...

Unione Industriale Torino - 6 novembre 2003 - Il Testo Unico sulla Privacy Unione Industriale Torino - 6 novembre 2003 - Il Testo Unico sulla Privacy

IL NUOVO TESTO UNICOIL NUOVO TESTO UNICO

IN MATERIA DI PRIVACYIN MATERIA DI PRIVACY

Dott. Luca LeoneDott. Luca Leone


•D.lgs. 30 giugno 2003, n. 196

•G.U. 29 luglio 2003, n. 174 S.O.

CODICE IN MATERIA DI PROTEZIONECODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALIDEI DATI PERSONALI


Il Codice si compone di 3 parti + Allegati:Il Codice si compone di 3 parti + Allegati:

Parte I – Disposizioni generaliParte II – Disposizioni relative a specifici settoriParte III – Tutela dell’interessato e sanzioni

Allegati

• Codici deontologici• Disciplinare tecnico in materia di misure

minime di sicurezza• Trattamenti non occasionali effettuati in

ambito giudiziario o per fini di polizia

CODICE IN MATERIA DI PROTEZIONECODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALIDEI DATI PERSONALI


IL CODICE IN AZIENDAIL CODICE IN AZIENDA


• Titolare• Responsabile• Incaricati

L’ORGANIGRAMMA PRIVACY


• è l’azienda nel suo complesso

• il consiglio di amministrazione incarica una persona a rappresentare il titolare (es. l’Amministratore delegato)

TITOLARE DEL TRATTAMENTO (Art. 28)TITOLARE DEL TRATTAMENTO (Art. 28)


• nomina facoltativa• interni ed esterni• nomina necessaria in aziende con organizzazioni

complesse• più nomine a seconda della complessità aziendale• la nomina del responsabile è una garanzia di tutela per

il titolare• la nomina non è un esonero di responsabilità per il

titolare: ne costituisce un’attenuazione (soprattutto in tema di responsabilità penale)

• il responsabile deve ricevere dal titolare precise istruzioni

• il responsabile deve essere controllato periodicamente dal titolare

• culpa in vigilando e culpa in eligendo per il titolare

RESPONSABILE (Art. 29)RESPONSABILE (Art. 29)


•persona fisica autorizzata, dal titolare o dal responsabile, a compiere operazioni di trattamento

•dipendente o collaboratore•deve attenersi alle istruzioni impartite•designazione effettuata per iscritto,

individuando puntualmente l’ambito del trattamento consentito

• facoltà per l’azienda di documentare la preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima (es: mansionari; job description)

INCARICATO (Art. 30)INCARICATO (Art. 30)


GLI ADEMPIMENTIGLI ADEMPIMENTI


•Generale assenza dell’obbligo•Alcuni trattamenti oggetto di notifica:

dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo;

dati sensibili registrati in banche di dati a fine di selezione del personale per conto terzi, nonché dati sensibili per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie.

•Invio telematico con firma digitale•I titolari non tenuti alla notificazione forniscono le notizie contenute nel modello di notifica a chi ne fa richiesta

NOTIFICA (Art. 37)


•La novità è costituita dal c.1 lett. d): l’informativa deve indicare “i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venire a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi”•Aggravio per le aziende•Necessario un intervento chiarificatore del Garante•Il Garante attraverso appositi provvedimenti potrà individuare modalità semplificate per l’informativa fornita da servizi telefonici di assistenza ed informazione al pubblico

INFORMATIVA (Art. 13)INFORMATIVA (Art. 13)


• Consenso espresso• Consenso scritto (+ autorizzazione del Garante)

per il trattamento dei dati sensibili• Esclusione (art. 24): accorpa l’art. 12 e 20 della L.

675/96 (es: comunicazione tra gruppi societari, nei casi individuati dal Garante)

• E’ consentita la comunicazione o diffusione di dati richiesta, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza

CONSENSO (Art.23)


• Diritto di accesso (art. 7): diviso in commi per facilitare sia la richiesta dell’interessato che eventuali ricorsi al Garante

• Esercizio dei diritti (art. 8 ): senza formalità anche per il tramite di un incaricato può avere luogo salvo che concerna la rettificazione o

l’integrazione di dati personali di tipo valutativo, relativo a giudizi, opinioni od altri apprezzamenti di tipo soggettivo

• Modalità di esercizio (art. 9): lettera raccomandata, telefax o posta elettronica

• Riscontro all’interessato (art. 10): comunicazione anche oralmente comunicazione in forma intelligibile

DIRITTI DELL’INTERESSATODIRITTI DELL’INTERESSATO


• Principio di necessità (art. 3): i sistemi informativi e i programmi Principio di necessità (art. 3): i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzo di dati personali informatici sono configurati riducendo al minimo l’utilizzo di dati personali e di dati identificativie di dati identificativi

• Definizione di dati personali, dati identificativi, dati sensibili, dati Definizione di dati personali, dati identificativi, dati sensibili, dati giudiziari, dati anonimigiudiziari, dati anonimi

• Codici deontologici:Codici deontologici: Lavoro e previdenza socialeLavoro e previdenza sociale Internet e reti telematicheInternet e reti telematiche VideosorveglianzaVideosorveglianza Libere professioni e investigazione privataLibere professioni e investigazione privata Direct marketingDirect marketing Centrali rischiCentrali rischi

• Annunci di lavoro (art. 113): viene confermata l’applicazione dell’art. 8 L. Annunci di lavoro (art. 113): viene confermata l’applicazione dell’art. 8 L. 300/70 (Statuto dei lavoratori)300/70 (Statuto dei lavoratori)

• Controllo a distanza (art. 114): divieto ai sensi dell’art. 4 L. 300/70 (Statuto Controllo a distanza (art. 114): divieto ai sensi dell’art. 4 L. 300/70 (Statuto dei lavoratori)dei lavoratori)

ALTRE NOVITA’ALTRE NOVITA’


• Deve diffondersi, all’interno dell’azienda, una cultura della privacy

• Sensibilità da parte dei vertici

• Corsi di formazione ad hoc per i Responsabili

• Corsi di formazione ad hoc per gli Incaricati

FORMAZIONE E INFORMAZIONEFORMAZIONE E INFORMAZIONE


SICUREZZA DEI DATI E DEI SISTEMISICUREZZA DEI DATI E DEI SISTEMI


• minime (artt. 33- 36)

• idonee (art. 31)

MISURE DI SICUREZZAMISURE DI SICUREZZA


Definizione (art. 4, c. 3, lett. a): il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall’art. 31

Art. 31: rischi di distruzione o perdita anche accidentale dei dati, rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta

I titolari del trattamento sono tenuti ad adottare le misure minime, individuate dal Codice, secondo le modalità previste dal Disciplinare Tecnico (allegato B), per assicurare un livello minimo di protezione dei dati personali.

MISURE MISURE MINIMEMINIME DI SICUREZZA DI SICUREZZA


I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

MISURE MISURE IDONEEIDONEE DI SICUREZZA DI SICUREZZA


1.trattamenti con strumenti elettronici

2.trattamenti senza l’ausilio di strumenti elettronici

IL CODICE SI DISTINGUE TRA:


Il trattamento è consentito solo se:

• sono adottate le misure minime di sicurezza individuate dal Codice

• le misure minime di sicurezza sono adottate con le modalità previste dal Disciplinare tecnico (allegato B)

TRATTAMENTO CON STRUMENTI ELETTRONICITRATTAMENTO CON STRUMENTI ELETTRONICI


• Autenticazione informatica• Procedure di gestione delle credenziali di autenticazione• Utilizzazione di un sistema di autorizzazione• Aggiornamento periodico dell’individuazione dell’ambito di

trattamento consentito agli incaricati e addetti alla gestione e manutenzione degli strumenti elettronici

• Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti

• Procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi

• Redazione e aggiornamento del Documento Programmatico sulla Sicurezza (DPS)

• Adozione di tecniche di cifratura o codici identificativi per determinati trattamenti di dati sensibili effettuati da organismi sanitari

MISURE MINIME INDIVIDUATE MISURE MINIME INDIVIDUATE DAL CODICE (Art. 34)DAL CODICE (Art. 34)


Sistema di autenticazione informaticaSistema di autenticazione informatica

1. Il trattamento dei dati è consentito solo agli incaricati dotati di credenziali di autenticazione (codice identificativo + parola chiave riservata conosciuta solo dall’incaricato; dispositivo di autenticazione eventualmente associato a un codice identificativo o a una parola chiave; caratteristica biometrica dell’incaricato eventualmente associata a un codice identificativo o a una parola chiave)

2. Gestione dei codici identificativi: Criteri di definizione e assegnazione individualità non riutilizzabilità validità temporale (disattivazione per mancato utilizzo –

6 mesi – o perdita qualità) criteri di disattivazione

Misure minime individuate dal Misure minime individuate dal Disciplinare Tecnico (Allegato B)Disciplinare Tecnico (Allegato B)


3. Gestione delle parole chiave (password): criteri di creazione (almeno 8 caratteri o numero caratteri

massimo consentito dal sistema, non banale, ecc.) criteri di gestione ( modifica ogni 6 mesi; 3 mesi in caso di

trattamento di dati sensibili) e di custodia4. Ad ogni incaricato possono essere associate una o più credenziali5. Il titolare dovrà fornire agli incaricati precise istruzioni in merito:

alla gestione e conservazione delle credenziali di autenticazione

alla custodia dei dispositivi in possesso e uso esclusivo dell’incaricato

alla gestione e custodia dello strumento elettronico durante le sessioni di trattamento

individuazione puntuale delle modalità di accesso ai dati, in caso di assenza prolungata o impedimento dell’incaricato, per esigenze organizzative e di sicurezza aziendale

6. Non ha più rilevanza la figura dell’Amministratore di Sistema7. Rimane la figura del preposto alla custodia della credenziale

riservata



Sistema di autorizzazioneSistema di autorizzazione

8. Profili di autorizzazione (per ciascun incaricato o per classi omogenee): criteri di individuazione preventiva verifiche periodiche (almeno ogni anno) criteri di revoca



Altre misure di sicurezzaAltre misure di sicurezza

9. Aggiornamento periodico e verifiche (almeno ogni anno) dell’ambito di trattamento consentito agli incaricati e redazione della lista degli incaricati

10. installazione e aggiornamento software antivirus (almeno ogni 6 mesi)

11. aggiornamenti periodici dei software volti a prevenire la vulnerabilità di strumenti elettronici e a correggere difetti (annualmente; ogni 6 mesi in caso di trattamento di dati sensibili)

12. istruzioni tecniche e organizzative per il salvataggio dei dati (frequenza settimanale)



1. Redatto entro il 31 marzo di ogni anno2. Deve contenere:

l’elenco dei trattamenti di dati personali la distribuzione dei compiti e delle responsabilità

nell’ambito delle strutture preposte al trattamento l’analisi dei rischi che incombono sui dati le misure da adottare per garantire l’integrità e la

disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento

Documento Programmatico sulla Sicurezza Documento Programmatico sulla Sicurezza (DPS)(DPS)


la previsione di interventi formativi degli incaricati del trattamento, la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento dei datitrattamento dei dati

la descrizione dei criteri da adottare per garantire l’adozione delle la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del affidati, in conformità al codice, all’esterno della struttura del titolaretitolare

per i dati personali idonei a rivelare lo stato di salute e la vita per i dati personali idonei a rivelare lo stato di salute e la vita sessuale l’individuazione dei criteri da adottare per la cifratura o per sessuale l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato la separazione di tali dati dagli altri dati personali dell’interessato (organismi sanitari)(organismi sanitari)

3.3. Il titolare riferisce, nella relazione accompagnatoria del bilancio Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, dell’avvenuta redazione o aggiornamento del documento d’esercizio, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezzaprogrammatico sulla sicurezza

Documento Programmatico sulla Sicurezza Documento Programmatico sulla Sicurezza (DPS)(DPS)


1. Istruzioni organizzative e tecniche per la custodia e l’uso di supporti rimovibili

2. istruzioni per la distruzione controllata dei supporti e per la cancellazione delle informazioni contenute

3. adozione di idonee misure per il ripristino dei dati in caso di danneggiamento dei dati e/o degli strumenti (7 giorni)

Misure di tutela e garanziaMisure di tutela e garanzia

1. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico

Ulteriori misure in caso di trattamento di Ulteriori misure in caso di trattamento di dati sensibili o giudiziaridati sensibili o giudiziari


Il trattamento è consentito solo se:

• sono adottate le misure minime di sicurezza individuate dal Codice

• le misure minime di sicurezza sono adottate con le modalità previste dal Disciplinare tecnico (allegato B)

TRATTAMENTO SENZA L’AUSILIO DI TRATTAMENTO SENZA L’AUSILIO DI STRUMENTI ELETTRONICISTRUMENTI ELETTRONICI


• aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative

• previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti

• previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati

Misure minime individuate dal Codice (Art. Misure minime individuate dal Codice (Art. 35)35)


• Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

• Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

• L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.

Misure minime individuate dalMisure minime individuate dal Disciplinare Tecnico (Allegato B)Disciplinare Tecnico (Allegato B)


Entrata in vigore CodiceEntrata in vigore Codice 01.01.200401.01.2004

DPSDPS 31.03.200431.03.2004

NotificazioneNotificazione 30.04.200430.04.2004

Misure MinimeMisure Minime 30.06.200430.06.2004

Adeguamento tecnologicoAdeguamento tecnologico 31.12.200431.12.2004

LE SCADENZELE SCADENZE

Unione Industriale Torino - 6 novembre 2003 - Il Testo Unico sulla Privacy IL NUOVO TESTO UNICO IN...

Documents

Transcript of Unione Industriale Torino - 6 novembre 2003 - Il Testo Unico sulla Privacy IL NUOVO TESTO UNICO IN...